Partage sécurisé des secrets

Zoho Vault vous permet de partager en toute sécurité des secrets avec les membres de confiance de votre entreprise. Le processus de partage a été conçu pour être en parfaite adéquation avec les normes élevées en matière de sécurité et de confidentialité des données.

Le processus de partage s'appuie sur un mécanisme de protection par l'hôte et un chiffrement RSA. Les clés publiques et privées RSA sont générées pour chaque utilisateur de votre entreprise. L'administrateur et les utilisateurs de l'entreprise « concluent un accord » pour initier le processus de partage. Au cours de ce processus à usage unique, les clés sont partagées entre l'administrateur et les utilisateurs. Tous les processus de génération et de partage de clés se passent en arrière-plan, sans intervention manuelle. Pour en savoir plus sur le processus de partage, consultez :

Étape 1 :

Lorsque l'administrateur de l'entreprise se connecte à Zoho Vault, des clés publiques et privées RSA sont générées. En outre, une nouvelle clé nommée « Org Key » est créée. Cette clé est une clé AES 256 bits propre à chaque entreprise. La clé privée de l'administrateur de l'entreprise est chiffrée à l'aide de la phrase de passe de ce même administrateur et stockée dans la base de données de Zoho. De même, la clé « Org Key » est également chiffrée à l'aide de la clé publique RSA de l'administrateur de l'entreprise et stockée dans la base de données. Ainsi, Zoho Vault stocke uniquement les clés chiffrées « Org Admin's Private Key » et « Org Key ». Conformément au modèle de protection par l'hôte, la phrase de passe de l'administrateur de l'entreprise n'est stockée nulle part sur le serveur. Elle se trouve juste dans la mémoire de l'administrateur de l'entreprise.

Étape 2 :

Lorsque les utilisateurs de l'entreprise se connectent à Zoho Vault, des clés publiques et privées RSA sont générées. La clé privée des utilisateurs est chiffrée à l'aide de la phrase de passe de ces mêmes utilisateurs et stockée dans la base de données de Zoho.

Étape 3 :

Une fois « l'accord conclu » entre l'administrateur et les utilisateurs, la clé « Org Key » chiffrée stockée dans la base de données est récupérée, puis déchiffrée à l'aide de la clé privée de l'administrateur de l'entreprise. La clé « Org Key » est ensuite chiffrée à l'aide de la clé publique RSA des utilisateurs, puis cette nouvelle clé chiffrée est partagée avec les utilisateurs et stockée dans leur espace de la base de données. Ce processus intervient pour chaque utilisateur de Zoho Vault.

Étape 4 :

Lorsque l'utilisateur tente de partager un secret, sa clé privée, stockée sous forme chiffrée dans la base de données, est récupérée, puis déchiffrée à l'aide de la phrase de passe de cet utilisateur. La clé chiffrée partagée par l'administrateur avec l'utilisateur est ensuite récupérée. La clé « Org Key » chiffrée est déchiffrée à l'aide de la clé privée de l'utilisateur. Le mot de passe à partager est désormais chiffré à l'aide de la clé « Org Key ».

Partage de mots de passe - Différentes étapes

Supposons qu'un utilisateur « ABC » soit l'administrateur de l'entreprise et qu'il souhaite partager un de ses mots de passe existants avec cinq autres utilisateurs de l'entreprise, par exemple A1, A2, A3, A4, A5.

Que doivent faire les utilisateurs A1, A2, A3, A4 et A5 pour récupérer les mots de passe ?

Que se passe-t-il en cas de modification d'un mot de passe partagé ?

Supposons que l'utilisateur A1 modifie le mot de passe.

Remarque importante :

Comme vous l'aurez remarqué, la clé « Org Key », qui est utilisée pour chiffrer/déchiffrer les secrets partagés, se trouve dans le navigateur lorsque le partage est utilisé dans l'entreprise. Techniquement parlant, un utilisateur expérimenté pourrait récupérer la clé « Org Key » lorsqu'il est connecté à Zoho Vault. Cependant, cette clé ne peut être exploitée que lorsque son détenteur accède à la base de données de Zoho Vault. Dans la mesure où les centres de données de Zoho se conforment aux normes de sécurité les plus récentes, une telle opération relève de l'exploit. Zoho Vault utilise la technologie de protection par l'hôte. Dès lors, il est impossible, même pour Zoho, d'accéder à la clé « Org Key ».